www.pr4gm4.com Risicare Premium en pratique selon Méhari 2010 Et ISO 27005 Novembre 2010 Pour l ASIQ 1
Un peu d histoire 2008 ISO 2700x ISO 27005 Gestion des risques 1996 Version 2001, V3, 2007, 2010 1998 Version 2007, Premium Bien comprendre la théorie pour bien la mettre en pratique 2
Méhari vs ISO 27002 Domaines 1 Organisation de la sécurité 2 Sécurité des sites 3 Sécurité des locaux 4 Réseau étendus intersites (WAN) 5 Réseau Local (LAN) 6 Exploitation des réseaux 7 Sécurité des systèmes et de leur architecture 8 Production informatique 9 Sécurité Applicative 10 Sécurité des projets et développements applicatifs 11 Protection des postes de travail utilisateurs 12 Exploitation des télécommunications 13 Processus de gestion 14 Gestion de la sécurité de l information Domaines 5 Politique de sécurité 6 Organisation de la sécurité de l'information 7 Gestion des biens 8 Sécurité liée aux ressources humaines 9 Sécurité physique et environnementale 10 Gestion de l'exploitation et des télécommunications 11 Contrôle d'accès 12 Acquisition, développement et maintenance des systèmes d'information 13 Gestion des incidents liés à la sécurité de l'information 14 Gestion du plan de continuité de l'activité 15 Conformité 2134 questions 133 mesures 3
Gestion du risque en sécurité de l information selon ISO 27 0007 Audit d un SMSI 27 0000 Définition et vocabulaire 27 0001 Exigences d un SMSI 27 0006 Exigences d audit et certification 27 000x 27 0002 Guide des bonnes pratiques Analyse de risques 27 0005 Gestion des risques 27 0004 Indicateur et tableaux de bord 27 0003 Implémentatio n SMSI 4
Exemple de risque appréhendé Indisponibilité de l'information Indisponibilité de l information http://www.zataz.com/news/13412/virus-informatique-%c3%a0-l-hopital.html 5
Exemple de risque appréhendé Perte d'informations Perte de renseignements personnels http://www.ledevoir.com/economie/127930/fraude-et-pertes-de-renseignements-personnels-chez-talvest-et-tjx-cos 6
Exemple de risque appréhendé Modification volontaire de l'information Un employé de la banque HSBC détourne 900.000 euros http://lci.tf1.fr/france/faits-divers/2009-03/un-employe-de-la-banque-hsbc-detourne-900-000-euros-4865024.html 7
Enjeux corporatifs Les risques d affaires appréhendés peuvent être : Accès à l information (V, I) Modification d information (V, I) Perte d information Vol d information Indisponibilité de l information 8
Évolution de Méhari depuis Marion et Melisa (96) 9
Évolution de Méhari 2010 selon ISO 10
27005 27002 ISO 27005 Gestion du risque en sécurité de l information Gestion des risques corporatifs Gestion de la sécurité de l information liée aux TI Gestion du risque en sécurité de l information Très TI Analyse de risques en sécurité de l information Risicare = Outil Méhari = Méthode 11
Processus de gestion du risque selon ISO 27005 12
Démarche Méhari 2010 13
Démarche Risicare Premium 14
Établissement du contexte Organisation Vice-présidence (ligne d affaires) Direction Secteur Projet Système Information et services corpos 15
Classification des actifs 16
Section Enjeux dans Risicare 17
Phase d audit dans Risicare 18
Niveau de maturité selon Risicare ISO 27002 Méhari environ 670..sur 2134 questions. 19
Évaluation du risque selon Risicare 20
de la norme ISO2700x Uniformise Encadre Oriente Guide Confirme des intuitions de gestion des risques selon les besoins d affaires d une organisation. 21
de Méhari & Risicare + 2000 mesures et mécanismes de sécurité tant technologiques qu organisationnels + 800 scénarios de risques (45 familles de scénarios) 22
Traitement des risques selon Risicare 23
Présentation du risque initial Avant traitement : 24
Gestion par projet dans Risicare 25
Présentation du risque résiduel Après traitement : 26
Déclaration d applicabilité (ISO) 27
Déclaration d applicabilité Déclaration Mesures réductrices 28
Avantages de Risicare Hérite du meilleur de Méhari (scénarios de risques) Hérite des meilleures pratiques Automatise les calculs Facilite le retour en arrière Facilite la présentation à des gestionnaires Permet de faire un suivi année après année Possibilité de personnalisation et d ajout de thèmes avec RisiBase 29
Recommandations Dans la mise en place Comprendre le langage ISO/Méhari/Risicare Désigner une cellule de gestion du risque TI Comprendre les domaines d affaires de son organisation Définir le contexte (dans la philosophie SMSI) Préparer les intrants (identification des processus) Se doter de courroies d engrenage maison Rentrer dans un modèle d amélioration continue Dans l utilisation Accepter la jeunesse de la science Ne pas se laisser démotiver par l ampleur des questionnaires Adapter son discours face à son interlocuteur (pas assez technique, pas assez gestion ) 30
Christophe Jolivet cjolivet@pr4gm4.com 418-261-6320 31
Reproduction de ce document Ce document est diffusé selon les termes de la licence BY-NC-ND du Creative Commons. Vous êtes libres de reproduire, distribuer et communiquer cette création au public selon les conditions suivantes : Paternité. Vous devez citer le nom de l auteur original de la manière indiquée par l auteur de l œuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d une manière qui suggérerait qu ils vous soutiennent ou approuvent votre utilisation de l œuvre). Pas d utilisation commerciale. Vous n avez pas le droit d utiliser cette création à des fins commerciales. Pas de modification. Vous n avez pas le droit de modifier, de transformer ou d adapter cette création. Pour toute demande, veuillez communiquer avec Christophe Jolivet à cjolivet@pr4gm4.com ou au 418-261-6320. Merci. 32